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Kleine Anfrage 

der Abgeordneten Kathrin Vogler, Sabine Zimmermann (Zwickau), Frank Tempel, 
Ulla Jelpke, Katja Kipping, Kersten Steinke, Azize Tank, Harald Weinberg, 

Birgit Wöllert, Pia Zimmermann und der Fraktion DIE LINKE. 


Fehlende Identifizierung mit der elektronischen Gesundheitskarte 


Die elektronische Gesundheitskarte (eGK) unterscheidet sich äußerlich von der 
herkömmlichen Krankenversicherungskarte (KVK) vor allem durch ein Foto. Es 
soll die Versicherte oder den Versicherten ahhilden und deren bzw. dessen Iden- 
tifikation in Arztpraxen, Krankenhäusern etc. ermöglichen. 

Ob das Foto tatsächlich die richtige Person abbildet, ist allerdings bei den im Um- 
lauf befindlichen eGK nicht überprüft worden. Von verschiedenen eCard-Gegne- 
rinnen und Gegnern ist bekannt, dass ihnen ohne Probleme eGKs mit abgebilde- 
ten Comicfiguren statt Passfotos ausgestellt wurden (www.shz.de/schleswig- 
holstein/panorama/foto-protest-gegen-die-gesundheitskarte-idl96884.html). Im 
„heute-joumal“ wurde demonstriert, dass es möglich ist, ohne besondere Compu- 
terkenntnisse eine eGK mit eigenem Foto auf den Namen eines anderen Versi- 
cherten zu besorgen (www.heute.de/massive-datenschutzluecke-bei-elektronischer- 
gesundheitskarte-38542206.html). Für die Bundesregierung „ist aus den gesetzli- 
chen Regelungen des § 291 SGB V nicht abzuleiten, dass die elektronische Ge- 
sundheitskarte ein Ausweisdokument wie der Pass oder der Personalausweis ist“ 
(Antwort der Bundesregierung auf die Kleine Anfrage der Fraktion DIE LINKE., 
Bundestagsdrucksache 18/3235). Andererseits beruft sie sich auf die Vertrags- 
partner des Bundesmantelvertrags, die festgelegt hätten, dass die „Identität des 
Versicherten zum Zwecke des Nachweises ihres Leistungsanspruchs nunmehr al- 
lein anhand der auf der elektronischen Gesundheitskarte aufgebrachten Identitäts- 
daten einschließlich des Lichtbilds erfolgt“ (siehe ebenda). Sie bestätigt zudem, 
dass die „richtige Zuordnung der Daten der Gesundheitskarte zum Karteninha- 
ber“ durch die Krankenkassen zu gewährleisten ist. 

Wir fragen die Bundesregierung: 

1. Inwiefern trifft es nach Kenntnis der Bundesregierung zu, dass die heute im 
Umlauf befindlichen eGKs nicht entsprechend dem Schutzbedarf für Sozial- 
daten beantragt, zugeordnet und ausgegeben wurden? 

a) Inwiefern ist diesbezüglich das Bundesversicherungsamt als Aufsichtsbe- 
hörde der bundesunmittelbaren Krankenkassen aktiv geworden? 

b) Inwiefern ist diesbezüglich die Bundesbeauftragte für den Datenschutz- 
schutz und die Informationsfreiheit nach Kenntnis der Bundesregierung 
aktiv geworden? 
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c) Inwiefern halten sich nach Kenntnis der Bundesregierung die Kranken- 
kassen bezüglich der Zuordnung und Ausgabe der eGKs an das Sicher- 
heitskonzept der Gesellschaft für Telematikanwendungen der Gesund- 
heitskarte mbH (gematik)? 

Wer überwacht die Einhaltung der gematik-Spezifizierungen? 

d) Inwiefern ist diesbezüglich das Bundesministerium für Gesundheit aktiv 
geworden? 

2. Inwiefern stimmt die Bundesregierung der Aussage zu, dass jede Weitergabe 
oder Übermittlung von Sozialdaten nach den Bestimmungen des Sozialge- 
setzbuchs oder anderer gesetzlicher Vorschriften nur dann erfolgen darf, 
wenn dies durch die betreffende Person genehmigt wurde? 

3. Inwiefern stimmt die Bundesregierung der Aussage zu, dass es sich bei den 
Daten im Rahmen des geplanten Versichertenstammdatenabgleichs um So- 
zialdaten handelt? 

4. Inwiefern stimmt die Bundesregierung der Aussage zu, dass die Genehmi- 
gung durch die betreffende Person nur dann wirksam ist, wenn diese rechts- 
sicher (d. h. entsprechend der Schutzbedarfsklasse für Sozialdaten) identifi- 
ziert wurde? 

5. Inwiefern stimmt die Bundesregierung der Aussage zu, dass die Ausgabe der 
eGK vor dem Hintergrund der fehlenden Identitätsüberprüfung rechtswidrig 
gewesen ist? 

a) Inwiefern lässt der Auftrag an die Krankenkassen die Ausgabe von eGKs 
überhaupt zu, bei denen die richtige Zuordnung der Daten der Gesund- 
heitskarte zum Karteninhaber nicht erfolgt ist? 

b) Inwiefern trifft die Aussage nach Ansicht der Bundesregierung jedenfalls 
dann zu, wenn ohne Identitätsüberprüfung mittels eGK Online-Anwen- 
dungen durchgeführt werden? 

c) Inwiefern wäre die Krankenkasse nach Auffassung der Bundesregierung 
gegenüber Versicherten, die Erstellung und Übermittlung des Fotos aus 
eigener Tasche bezahlen mussten, schadensersatzpflichtig? 

d) Inwiefern wären die Verantwortlichen bei den gesetzlichen Krankenkas- 
sen nach Auffassung der Bundesregierung persönlich für die gegebenen- 
falls entstandenen Schäden haftbar zu machen? 

6. Inwiefern stimmt die Bundesregierung der Aussage zu, dass eine PIN-Ein- 
gabe zur Autorisierung der Datenverarbeitung unwirksam ist, wenn die Per- 
son, die den PIN eingibt, nicht sicher (entsprechend der Schutzbedarfsklasse) 
identifiziert ist? 

7. Inwiefern erachtet die Bundesregierung den mit dem E-Health-Gesetz ge- 
planten Online-Stammdatenabgleich mit den derzeit ausgegebenen eGKs als 
datenschutzrechtlich zulässig? 

a) Inwiefern ist der Stammdatenabgleich als unbefugtes Offenbaren von Da- 
ten zu betrachten, solange die bzw. der Versicherte nicht identifiziert ist? 

b) Inwiefern ist nach Kenntnis der Bundesregierung für den Online-Stamm- 
datenabgleich die „richtige Zuordnung der Daten der Gesundheitskarte 
zum Karteninhaber“ unabdingbare Voraussetzung? 

c) Inwiefern haben Versicherte die Möglichkeit, dem Online-Stammdaten- 
abgleich zu widersprechen und die automatische Übermittlung ihrer So- 
zialdaten damit zu untersagen? 
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8. Inwiefern stimmt die Bundesregierung der Aussage zu, dass eine Strafbarkeit 
wegen unbefugtem Offenbaren von Sozialdaten schon dann gegeben sein 
kann, wenn die Möglichkeit zum Datenzugriff besteht und nicht nur, wenn 
Daten tatsächlich im Einzelfall unbefugt offenbart werden? 

Welche Rechtsnormen kommen hier in Betracht? 

9. Welche Eigenschaften des Versicherten werden durch Nutzung der Zertifi- 
kate der eGK zur Authentisierung gegenüber der Telematikinfrastruktur 
nachgewiesen? 

10. Welches Datenschutzniveau (Level of Assurance, LoA) ist nach Kenntnis 
der Bundesregierung nach dem internationalen Standard ISO/IEC 29115 für 
Sozialdaten vorgesehen? 

a) Welche datenschutzrechtlichen Anforderungen werden in diesem LoA 
gestellt? 

b) Welchen Schutzbedarf bzw. welches Vertrauensniveau haben Sozialdaten 
gemäß dem Bundesamt für Sicherheit in der Informationstechnik (BSI)? 

c) Welche Anforderungen werden insbesondere an die Registrierung ge- 
stellt? 

d) Welche Anforderungen werden insbesondere an den Nachweis der Iden- 
tität gestellt? 

e) Inwiefern wird die eGK auf Antrag ausgegeben? 

1 1 . Inwiefern wird nach Auffassung der Bundesregierung das LoA für Sozialda- 
ten gemäß internationalem Standard ISO/IEC 291 15 bei der Ausgabe der 
eGK eingehalten? 

a) Welcher LoA entsprechen die heute im Umlauf befindlichen eGK nach 
Kenntnis der Bundesregierung? 

b) Welche Stellen übernehmen das Enrolment (Registrierung) von Versi- 
cherten für die eGK als Authentisierungsmittel? 

c) Welchem Vertrauensniveau werden Arbeitgeber zugeordnet? 

d) Welchem Vertrauensniveau werden Versicherte zugeordnet? 

e) Welchem Vertrauensniveau ist die Übermittlung von Daten nach der Da- 
tenerfassungs- und -Übermittlungsverordnung (DEÜV) zuzuordnen? 

f) Welches Vertrauensniveau wird gemäß ISO/IEC 291 15 für selbstbestä- 
tigte Identitätsinformationen erzielt? 

g) Auf welchem Vertrauensniveau muss eine Identitätsprüfung gemäß Bun- 
desamt für Sicherheit in der Informationstechnik (BSI) mindestens erfol- 
gen? 

h) Wie muss gemäß Kapitel 10.1 der ISO/IEC 291 15 eine Identitätsprüfung 
für das Vertrauensniveau von Sozialdaten durchgeführt werden? 

i) Wie muss gemäß ISO/IEC 291 15 die Identität einer Person innerhalb der 
Identitätsprüfung nachgewiesen werden? 

j) Welches Vertrauensniveau kann maximal erreicht werden, wenn einzelne 
Prozessschritte eines Registrierverfahrens unterschiedliche Vertrauensni- 
veaus erfüllen? 

k) Welchem Vertrauensniveau entspricht das derzeitige Verfahren der Kran- 
kenkassen zur Beantragung und Ausgabe der eGKs? 

12. Inwiefern ist die Einhaltung des internationalen Standards ISO/IEC 29115 
für eine sichere Telematikinfrastruktur und eGK- Anwendungen nach Ein- 
schätzung der Bundesregierung unabdingbar? 
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13. Auf welcher rechtlichen Grundlage vertrat eine Sprecherin des Bundes- 
gesundheitsministeriums die Auffassung, dass auch Arzte verpflichtet 
seien, die Identität der Versicherten zu überprüfen (www.welt.de/ 
newsticker/dpa_nt/infoline_nt/brennpunkte_nt/articlel24506981/Wirbel-um- 
Rechtmaesigkeit-der-Gesundheitskarte.html)? 

a) Wenn, wie die Bundesregierung ausführt, die eGK kein „Ausweisdoku- 
ment wie der Pass oder der Personalausweis“ ist, wie weist der Versi- 
cherte dann rechtsverbindlich seine Identität gegenüber dem Arzt oder 
beim einem anderen Zugriff auf die Telematik-Infrastruktur nach? 

b) Inwiefern kommt alternativ zur Identifizierung mittels der eGK eine Prü- 
fung eines offiziellen Ausweisdokuments in der Arztpraxis infrage? 

14. Inwiefern stimmt die Bundesregierung zu, dass das ganze Konzept der eGK 
sowohl gesetzlich als auch in den Festlegungen der Selbstverwaltung darauf 
ausgelegt ist, dass die Versicherten mit ihr ihre Identität nachweisen? 

15. Inwiefern stimmt die Bundesregierung der Aussage des GKV-Spitzen- 
verbandes zu, dass die eGK als „eingeschränkter Identitätsnachweis“ 
konzipiert ist (www.welt.de/newsticker/dpa_nt/infoline_nt/brennpunkte_nt/ 
articlel24506981/Wirbel-um-Rechtmaessigkeit-der-Gesundheitskarte.html)? 

a) Bedeutet nach Ansicht der Bundesregierung ein „eingeschränkter Identi- 
tätsnachweis“, dass nur einige Identitätsmerkmale rechtlich bestätigt wer- 
den? 

Falls ja, welche, und welche nicht? 

b) Bedeutet nach Ansicht der Bundesregierung ein „eingeschränkter Identi- 
tätsnachweis“, dass der Nachweis aller Identitätsmerkmale nur einge- 
schränkt möglich ist und dass in Kauf genommen wird, dass die Authen- 
tisierung nicht rechtssicher ist? 

16. Welche Maßnahmen wären nach Ansicht der Bundesregierung geeignet, die 
datenschutzrechtlichen Vorbehalte bei Online- An Wendungen der eGK durch 
die fehlende Identifizierung der Versicherten abzustellen? 

a) Was haben die Selbstverwaltung bzw. die Betreibergesellschaft gematik 
dahingehend unternommen? 

b) Wenn die Einhaltung des gematik-Sicherheitskonzepts Voraussetzung zur 
Zulassung als Kartenherausgeber ist, welche Maßnahmen sind von der 
gematik bei Verstößen gegen das gematik-Sicherheitskonzept vorgese- 
hen? 

c) Was haben die Bundesregierung oder Aufsichtsbehörden des Bundes 
diesbezüglich unternommen? 

d) Wie teuer wird es für die Versichertengemeinschaft werden, wenn die 
Krankenkassen rechtskonform die Identifizierung der Versicherten nach- 
holen, und wer würde diese Kosten tragen? 

e) Welche Identifizierungsverfahren wurden diesbezüglich durch die Selbst- 
verwaltung als geeignet und damit gesetzeskonform eingestuft? 

f) Welche Identifizierungs verfahren werden oder wurden nach Kenntnis der 
Bundesregierung bislang überhaupt angewendet? 

17. Inwiefern sieht die Bundesregierung politischen Handlungsbedarf infolge 
des Urteils des Landessozialgerichts Rheinland-Pfalz (L 5 KR 32/14 NZB 
vom 20. März 2014), demzufolge Krankenkassen Kosten nur erstatten dür- 
fen, soweit es das Gesetz vorsieht (vgl. § 13 Absatz 1 des Fünften Buches 
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Sozialgesetzbuch - SGB V) und dieses Fehlen einer Regelung über die Er- 
stattung etwa der Kosten für die Beschaffung des Lichtbildes bedeutet, dass 
diese Kosten von den Versicherten selbst zu tragen sind? 

Wie bewertet die Bundesregierung vor diesem Hintergrund die Praktiken ei- 
niger Krankenkassen, welche die Kosten für das Foto übernommen oder die 
Ablichtung selbst finanziert haben? 

18. Welche Schlussfolgerungen zieht die Bundesregierung aus dem Urteil 
des Landessozialgerichts Nordrhein-Westfalen (L 5 KR 594/14 vom 
28. Mai 2015), dass Krankenhäuser keinen Anspruch auf Vorlage einer eGK 
zum Nachweis einer Krankenversicherung haben? 

19. Welche Rückschlüsse zieht die Bundesregierung aus der im gleichen Urteil 
getroffenen Aussage, dass ein ruhender Leistungsanspruch auf der eGK 
durch Krankenkassen nicht als Merkmal aufgebracht werden muss? 

a) Inwiefern ist die/der Versicherte nach Ansicht der Bundesregierung für 
die Krankenhausbehandlung voll zahlungspflichtig, wenn seine Kran- 
kenkasse sich weigert, diese aufgrund eines ruhenden Leistungsanspruchs 
zu erstatten? 

b) Inwiefern darf das Krankenhaus diese Behandlung dem Versicherten in 
Rechnung stellen, wenn nicht im Vorhinein über die voraussichtlich 
entstehenden Kosten aufgeklärt wurde? 

c) Inwiefern stimmt die Bundesregierung vor diesem Hintergrund der 
Aussage zu, dass die eGK momentan nicht nur für eine sichere Iden- 
tifizierung, sondern sogar als sicherer Nachweis des Versicherungsstatus 
ungeeignet ist? 

20. Welchen politischen Handlungsbedarf sieht die Bundesregierung angesichts 
des im „heute-journal“ vom 24. Juni 2015 aufgedeckten massiven Daten- 
schutzproblems bei der eGK, und welche diesbezüglichen Maßnahmen sind 
im Entwurf des sogenannten E-Health-Gesetzes berücksichtigt? 

a) Was haben die Bundesregierung oder das Bundesversicherungsamt nach 
dem 24. Juni 2015 diesbezüglich unternommen? 

b) Unter welchen Voraussetzungen dürfen Sozialdaten über telefonische 
Abfragen bei gesetzlichen Krankenkassen zugänglich gemacht werden? 

c) Wer wäre nach Kenntnis der Bundesregierung klageberechtigt, bzw. in- 
wiefern kommt eine Ermittlung von Amts wegen in Betracht? 

d) Was können Versicherte rechtlich unternehmen, wenn ihre Krankenkasse 
ein ähnliches Sicherheitskonzept, wie die AOK Rheinland-Pfalz/Saarland 
im genannten heute-journal-Beitrag, verfolgt? 

e) Kann mittels der im heute-journal-Beitrag beschriebenen Methoden auch 
noch auf Sozialdaten anderer Sozialversicherungsträger zugegriffen wer- 
den? 

f) Was hat die Bundesbeauftragte für den Datenschutzschutz und die Infor- 
mationsfreiheit nach Kenntnis der Bundesregierung diesbezüglich unter- 
nommen? 

21. Inwiefern ist die Einhaltung des internationalen Standards ISO/IEC 29115 
für einen sicheren Zugriff der Versicherten über Online-Geschäftsstellen der 
Krankenkassen nach Kenntnis der Bundesregierung unabdingbar? 
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22. Unter welchen Voraussetzungen können GKV- Versicherte datenschutz- 
rechtskonform einen Antrag auf Patientenquittung nach § 305 SGB V per 
Internet-Zugriff stellen? 

a) Unter welchen technologischen und organisatorischen Voraussetzungen 
ist die eGK geeignet, diese Anforderungen zur Identifizierung von Versi- 
cherten zwecks Online-Zugriff auf Sozialdaten, zu erfüllen? 

b) Welche der Aufsicht des Bundes unterstehenden Krankenkassen oder an- 
dere Krankenkassen haben die geltenden Regelungen nach § 36a SGB I 
nach Kenntnis der Bundesregierung umgesetzt und welche nicht? 

c) Welche Krankenkassen haben insbesondere Zugänge nach § 36a SGB I 
mittels eGK realisiert, um eine datenschutzgerechte Kommunikation zwi- 
schen Krankenkassen und Versicherten zu gewährleisten? 

d) Inwiefern sieht die Bundesregierung hier gesetzgeberischen oder auf- 
sichtsbehördlichen Handlungsbedarf? 

23. Welche Kenntnisse hat die Bundesregierung über Patiententerminals, die in 
Apotheken aufgestellt und mit denen nach Einlesen der eGK Daten etwa ei- 
ner ärztlichen Arbeitsunfähigkeitsbescheinigung an die Krankenkassen ge- 
sendet werden sollen (www.apotheke-adhoc.de/nachrichten/nachricht-detail/ 
zur-krankmeldung-in-die-apotheke-degiv-bkk/)? 

a) Wie viele derartige Verträge sind nach Kenntnis der Bundesregierung be- 
reits unterzeichnet worden? 

b) Inwiefern schätzt die Bundesregierung die Übersendung von Sozialdaten 
über derartige Terminals mittels der heute ausgegebenen eGKs als daten- 
schutzrechtlich unbedenklich ein? 

c) Inwiefern sind hier die Datenschutzbeauftragte, das Bundesversiche- 
rungsamt oder das Bundesgesundheitsministerium aktiv geworden? 

24. Inwiefern war es ein mit der eGK-Einführung verfolgtes Ziel, datenschutz- 
rechtliche Probleme beim Zugriff auf Sozialdaten bei der Krankenversicher- 
tenkarte abzustellen, und inwiefern hat sie das vor dem Hintergrund der be- 
kannten Datenschutzskandale nach Ansicht der Bundesregierung erfüllt? 

25. Inwiefern soll das Foto nach Kenntnis der Bundesregierung zur Bekämpfung 
von Kartenmissbrauch beitragen? 

a) Welche Zahlen hat die Bundesregierung über das Ausmaß von Karten- 
missbrauch vor Ausgabe der eGKs? 

b) Inwiefern kann Kartenmissbrauch nach Ansicht der Bundesregierung 
überhaupt zuverlässig bekämpft werden, wenn die Identität von abgebil- 
deter Person und Versicherter bzw. Versichertem nicht überprüft wurde? 

c) Welche Daten hat die Bundesregierung, die einen Rückgang von Karten- 
missbrauch nach Ausgabe der eGKs belegen? 

Wie hoch sind die Einsparungen für die gesetzliche Krankenversiche- 
rung? 

Berlin, den 10. November 2015 


Dr. Sahra Wagenknecht, Dr. Dietmar Bartsch und Fraktion 
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